A Lei Geral de Proteção de Dados e a necessidade do consentimento expresso

A Lei Geral de Proteção de Dados define, em seu art. 7º, quais são as bases legais que justificam o tratamento dos dados. Isto quer dizer que, para qualquer forma tratamento (coleta, armazenamento, compartilhamento e etc), é preciso que o controlador dos dados esteja de acordo com uma das alternativas fornecidas no art. 7º, tais como: o consentimento pelo titular; o legítimo interesse do titular; o cumprimento de obrigação legal, dentre outros. 

Importante lembrar que o para o tratamento de dados sensíveis e de dados de crianças e adolescentes, tem-se regras mais rígidas, que fogem do escopo do assunto que será tratado a seguir. 

Tratando-se, então, dos dados de pessoais físicas, titulares de direitos à proteção os dados pessoais, tem-se como primeira hipótese para base legal de tratamento de dados pessoais a que decorre do consentimento expresso do titular, sendo o consentimento definido como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, XII).

O consentimento deve ser praticado pela pessoa física, titular dos dados, e deve vir acompanhado da informação de finalidade específica. Isto porque, a validade do consentimento tem vinculação direta com o princípio da finalidade, que exige que os propósitos do tratamento de dados sejam legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. A finalidade deve ser determinada e, por isso, as autorizações genéricas serão consideradas nulas. 

Em outras palavras, aquele que consentiu expressamente ao tratamento de seus dados, o fez para uma finalidade específica, sendo que a alteração da finalidade exigirá novo consentimento. 

A Lei não exige necessariamente que o consentimento seja por escrito. O consentimento deverá ser fornecido por escrito ou por “outro meio que demonstre a manifestação de vontade do titular. Em outros termos, “outros meios” deve ser uma declaração ou um ato positivo inequívoco. 

É preciso cuidar, no entanto, quando houver uma relação em que a vulnerabilidade é presumida, tais como nas relações de consumo, em que o controlador de dados está oferecendo um produto ou serviço ao consumidor e, para cumprir tal finalidade, precisa tratar/coletar os seus dados pessoais. Neste caso, verifica-se uma relação take-it-or-leave-it, o que quer dizer que o consumidor precisa concordar com o tratamento de dados, sob pena de não poder obter o produto ou serviço.